Clasificación de los activos de información

Slides:



Advertisements
Presentaciones similares
Introducción a ISO 9000 ISO (c)Copyright 2003 RDC9000.
Advertisements

RESUMEN La seguridad no es un producto, es un proceso continuo que debe ser controlado, gestionado y monitorizado. Información que necesitamos de forma.
Introducción a la Seguridad Informática
ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Control Interno Informático. Concepto
Aspectos Organizativos para la Seguridad
Gustavo Ramiro Soliz Garnica
Auditoria de Sistemas de Gestión
::Grupos y movimientos
SEGURIDAD DE LA INFORMACIÓN EN LA SINDICATURA DE COMPTES DE LA COMUNITAT VALENCIANA Alejandro Salom Campos Unidad de Auditoría de Sistemas de Información.
V Simposio Internacional DWH Aguascalientes – Junio 2008 El Problema de todos: resguardo, custodia y recuperación de la información V Simposio Internacional.
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
Auditoria Informática Unidad II
12.4 Seguridad de los archivos del sistema
USUARIOS INFORMATICOS. USUARIOS FINALES.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
NORMAS INTERNACIONALES DE AUDITORIA DE SISTEMAS
Implementación de un Plan de Continuidad del Negocio aplicado en el área de Contabilidad de una empresa dedicada a la comercialización de maquinarias y.
Potencializando las microfinanzas Servicios en la nube: Mitos y realidades Marzo,2013.
Business Plan 2010 – O7TI Page 1 Client name - Event - Presentation title Page 1.
Análisis y Gestión de Riesgos
Seguridad y control Unidad V Material de apoyo “activos”
Asegura el control a la ejecución de los procesos de la entidad, orientándola a la consecución de los resultados y productos necesarios para el cumplimiento.
Operación del Servicio Equipo 4. La Operación del Servicio es la 4ª Fase del ciclo de vida del Servicio y la debemos asociar con: Ofrecer un Servicio.
Normas Internacionales
Universidad Técnica Nacional Auditoría de Sistemas Tema: COBIT 4.1
©Copyright 2013 ISACA. Todos los derechos reservados Capacidades Las capacidades son habilitadores fundamentales del gobierno. Las capacidades.
©Copyright 2013 ISACA. Todos los derechos reservados. El impacto adverso de un evento relacionado con la seguridad puede describirse en términos de la.
Objetivos de aprendizaje
©Copyright 2013 ISACA. Todos los derechos reservados Documentación Para gestionar efectivamente los riesgos, se requiere de una documentación adecuada.
©Copyright 2013 ISACA. Todos los derechos reservados. La gestión de riesgos consiste por lo general en los siguientes procesos: Definición del alcance.
1.8.3 Métricas de Alineación Estratégica
Yohel Herrera Zuñiga Johnny Ramirez Jose Vargas
Mauricio Rodríguez Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
SEGURIDAD DE LA INFORMACIÓN
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
©Copyright 2013 ISACA. Todos los derechos reservados El estado deseado ISO/IEC 27002/ISO/IEC 27001— Las 11 Divisiones Principales: —Política de.
COBIT KARYL LARA N.. ENTREGA Y SOPORTE A este Dominio le concierne la entrega real de los servicios requeridos, que cubre desde las operaciones tradicionales.
©Copyright 2013 ISACA. Todos los derechos reservados Otros Proveedores de Soporte y Aseguramiento Organizacional  Jurídico  Cumplimiento 
©Copyright 2013 ISACA. Todos los derechos reservados. Un gobierno de seguridad de la información robusto puede ofrecer muchos beneficios a una organización.
1.17 Implementación del gobierno de la seguridad—Ejemplo
©Copyright 2013 ISACA. Todos los derechos reservados. 1.5 Gobierno Efectivo de la Seguridad de la Información BMIS - Una clara estrategia organizacional.
1.8.8 Integración del proceso de aseguramiento
CONTROL INTERNO - COMPONENTES ACTIVIDADES DE CONTROL
GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION
SGSI: Sistemas de Gestión de la Seguridad de la Información
EJERCICIOS MÓDULO VI Carmen R. Cintrón Ferrer, , Derechos Reservados Auditoría de Redes.
©Copyright 2013 ISACA. Todos los derechos reservados Evaluación de riesgos Existen numerosos modelos de gestión de riesgos a disposición del Gerente.
©Copyright 2013 ISACA. Todos los derechos reservados. 2.4 Visión general de la gestión de riesgos Desafíos de la gestión de riesgos Existe un alto potencial.
©Copyright 2013 ISACA. Todos los derechos reservados. Confianza y valor de los sistemas de información ISACA ®
1ra Sesión Práctica – Informática II Semana No. 3 Período 2010 – II 1ra Sesión Práctica – Informática II Semana No. 3 Período 2010 – II Utilizar la hoja.
La protección de datos en el sector salud en México Lina Ornelas Núñez Directora General de Clasificación y Datos Personales IFAI 14 de noviembre de 2008.
Proveedores de servicios externos
LOS 4 DOMINIOS INTERRELACIONADOS DE COBIT
©Copyright 2013 ISACA. Todos los derechos reservados Arquitecturas de seguridad de la información de la empresa El concepto de arquitectura de.
©Copyright 2013 ISACA. Todos los derechos reservados. Confianza y valor de los sistemas de información ISACA ®
©Copyright 2013 ISACA. Todos los derechos reservados Riesgo residual Los riesgos que permanecen aun después de que se han diseñado controles.
Programa de Administración de Riesgos.
©Copyright 2013 ISACA. Todos los derechos reservados. La seguridad de la información ha sido tradicionalmente ejecutada en silos, utilizando terminologías.
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
(Control Objectives for Information and related Technology)
Jenny Alexandra Marin Luis Carlos Avila Javier Murcia
©Copyright 2013 ISACA. Todos los derechos reservados Seguros Los tipos más comunes de Seguros que pueden ser considerados son: Primera Parte.
COBIT KARYL LARA N..
SEGURIDAD DE LA INFORMACION Y SEGURIDAD DE LA EMPRESA Presentado por: Alejandra Gómez Benítez Yuly Alexandra contreras Karen Geraldine Rodríguez.
SEGURIDAD DE LA INFORMACION Y SEGURIDAD DE LA EMPRESA Presentado por: Alejandra Gómez Benítez Yuly Alexandra contreras Karen Geraldine Rodríguez.
ANALISIS SEGURO DE TRABAJO (AST)
Marco Integrado de Control Interno, con enfoque COSO III, 2013
Auditoría y Seguridad de Sistemas de Información Impacto Comercio Electrónico MBA Luis Elissondo.
Transcripción de la presentación:

2.11.3 Clasificación de los activos de información El Gerente de Seguridad de Información debe: Localizar e identificar los recursos de información. Determinar a los dueños, usuarios y custodios de la información. Asignar clases o niveles de sensitividad y criticidad a los recursos de información. Hacer clasificaciones simples. Asegurar que existen políticas, normas y procedimientos para etiquetar, manipular, procesar, almacenar, retener y destruir información. Contenidos a Enfatizar: El primer paso en el proceso de clasificación es localizar e identificar los recursos de información. En muchas organizaciones, esto puede ser difícil, ya que por lo general no se cuenta con un inventario detallado de los activos relacionados con la información. Esto se aplica en particular a las grandes organizaciones que tienen múltiples unidades de negocio independientes pero que no cuentan con un área de seguridad sólida centralizada. El proceso de identificación incluirá la determinación de la ubicación de los datos, así como de los propietarios, usuarios y custodios de los datos. El gerente de seguridad debe también considerar los datos que los proveedores de servicios externos almacenan. Estos proveedores de servicios pueden incluir empresas de protección de medios y archivo, procesadores de listas de correo, empresas que procesan correos que contienen información de la compañía, empresas que fungen como mensajeros o transportistas de información, así como proveedores de servicios externos. Los proveedores de servicios pueden incluir centros de datos que proporcionan funciones de anfitrión (hosting), servicios de nómina o administración de seguros médicos. El gerente de seguridad de la información que trabaje con las unidades de negocio debe establecer la clasificación de la información adecuada o los niveles de sensibilidad y gravedad para los recursos de información y asegurarse de que todos los negocios y las partes interesadas en TI tienen la oportunidad de revisar y aprobar las directrices establecidas para los niveles de control de acceso. El número de niveles debe mantenerse al mínimo. Las clasificaciones deben ser sencillas, por ejemplo clasificar por diferentes grados de sensibilidad y criticidad. Los gerentes de usuarios finales junto con el administrador de seguridad pueden entonces utilizar estas clasificaciones en su proceso de evaluación de riesgos para ayudar a determinar los niveles de acceso. Páginas de Referencia del Manual de Preparación al Examen: Págs. 122

2.11.3 Clasificación de los activos de información Los gerentes de usuarios finales junto con el administrador de seguridad pueden utilizar estas clasificaciones en su proceso de valoración de riesgos para ayudar a determinar los niveles de acceso. La clasificación de los activos de información reduce el riesgo de una protección insuficiente o el costo de sobreproteger los recursos de información al vincular la seguridad con los objetivos de negocio. Páginas de Referencia del Manual de Preparación al Examen: Pg. 122

2.11.3 Clasificación de los activos de información Existen varias preguntas que deben formularse en cualquier modelo de clasificación de los activos de información, entre las que se incluyen: ¿Cuántos niveles de clasificación son convenientes para la organización? ¿Cómo se localizará la información? ¿Qué proceso se utiliza para determinar la clasificación? ¿Cómo se identificará la información clasificada? ¿Cómo se mantendrá de acuerdo con las políticas o las leyes? ¿Quién tiene derechos de acceso? ¿Quién tiene autoridad para determinar el acceso a los datos? ¿Qué aprobaciones se requieren para el acceso? Contenidos a Enfatizar: Existen varias preguntas que deben formularse en cualquier modelo de clasificación de los activos de información, entre las que se incluyen: ¿Cuántos niveles de clasificación son convenientes para la organización? ¿Cómo se localizará la información? ¿Qué proceso se utiliza para determinar la clasificación? ¿Cómo se identificará la información clasificada? ¿Cómo se etiquetará? ¿Cómo se manejará? ¿Cómo se transportará? ¿Cuál es el ciclo de vida de la información (crear, actualizar, recuperar, archivar, eliminar)? ¿Cuáles son los procesos que están relacionados con las diversas etapas del ciclo de vida de los activos de información? ¿Cómo se mantendrá de acuerdo con las políticas o las leyes? ¿Cómo se destruirá en condiciones seguras al final del periodo de retención? ¿Quién tiene la propiedad de la información? ¿Quién tiene derechos de acceso? ¿Quién tiene autoridad para determinar el acceso a los datos? ¿Qué aprobaciones se requieren para el acceso? Páginas de Referencia del Manual de Preparación al Examen: Pg. 122

2.11.3 Clasificación de los activos de información Un análisis del impacto en el negocio ayuda a identificar el impacto de los eventos adversos en actividades o procesos críticos de negocio. El Gerente de Seguridad de Información puede usar métodos que están dentro de los marcos COBIT, NIST y OCTAVE del SEI Contenidos a Enfatizar: Existen varios métodos para determinar la sensibilidad y criticidad de los recursos de información y el impacto que tienen los eventos adversos. Un análisis del impacto en el negocio es a menudo realizada para identificar el impacto de los eventos adversos en actividades o procesos críticos de negocio. Los métodos dentro de los marcos COBIT, NIST y Octave del SEI son representativos de los recursos que el Gerente de Seguridad de Información puede utilizar en este esfuerzo. Dado que existen numerosos incidentes adversos que pueden ocurrir, sería una tarea de enormes proporciones mencionarlos todos. Tal esfuerzo, obviamente, no es práctico ni rentable. Un BIA generalmente se focaliza en el impacto que un tipo de evento puede tener en un proceso específico y crítico del negocio. Páginas de Referencia del Manual de Preparación al Examen: Págs. 122  

2.11.4 Valoración y análisis de impactos Un enfoque común en la valoración de impacto es identificar una propuesta de valor de un activo a la organización en términos de: Costo de reemplazo. El impacto asociado con la pérdida de integridad. El impacto asociado con la pérdida de disponibilidad. El impacto asociado con la pérdida de confidencialidad. Páginas de Referencia del Manual de Preparación al Examen: Pg. 123

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.